今天这期继续讲 Agent,但角度要换一下。
过去几天看的重点是沙箱、长任务、企业授权和成本报表。今天 Cloudflare 这条更细:AI 写完代码以后,能不能先把东西部署出来,让人看到一个真实地址,再决定要不要接管。
这不是大新闻的那种热闹,但很接近普通人以后用 AI 写工具时会遇到的卡点:代码生成完了,下一步谁来登录、谁来授权、谁来验收。
今天只看这 3 件事
1. Cloudflare 让 Agent 先部署再认领
发生了什么:Cloudflare Workers 现在支持 wrangler deploy --temporary。Agent 不用先注册、登录、拿 API token,就能先把 Worker 部署出来,临时账号 60 分钟内可认领。
为什么重要:AI 编程最容易卡住的地方,经常不是写代码,而是写完以后怎么跑起来。临时部署账号把“先证明能运行”和“正式绑定身份”拆开了。Agent 可以先部署、拿到 URL、自检,用户再决定要不要认领。
对我们有什么影响:以后判断 AI 编程工具,不能只看它会不会改文件。更应该看它能不能交付一个可访问、可检查、可撤回的结果。Cloudflare 这次补的就是其中一小段,但这段很关键。
2. GitHub 公开内部数据分析 Agent Qubot
发生了什么:GitHub 介绍了内部 Copilot 数据分析 Agent Qubot。员工可以在 Slack、VS Code 或 Copilot CLI 里用自然语言问数仓问题,结果会生成回答和可复查的 Markdown 报告。
为什么重要:它给了一个企业内部 Agent 的真实样板:不是让 AI 随便写 SQL,而是把界面、上下文层、查询引擎、权限和可复查报告串起来。
对我们有什么影响:这条能转成“普通公司怎么做内部数据 Agent”的内容。重点不是让模型替你猜答案,而是把数据口径、权限、报告留痕和追问入口放在同一条链路里。否则自然语言问数仓,很容易变成漂亮但不可复查的幻觉。
3. MosaicLeaks 暴露深度研究 Agent 的隐私泄露问题
发生了什么:ServiceNow 团队发布 MosaicLeaks,测试深度研究 Agent 把本地私有文档和公开网页检索混在一起时,会不会通过外部搜索词泄露内部信息。结果显示,Agent 确实会泄露,单纯追求任务完成率还可能让泄露更严重。
为什么重要:很多人现在想让 Agent 读公司资料、再去网上查东西。这个研究提醒我们,泄密不一定发生在最终回答里,可能发生在它发出去的搜索查询里。
对我们有什么影响:这条适合做安全边界选题。以后讲“让 AI 读资料做研究”时,不能只讲效率,还要讲外部查询、日志、私有信息拆分和权限隔离。尤其是公司内部资料,不该被 Agent 顺手带进公开搜索框里。
为什么放在一起看
今天这三件事其实在讲同一条链路:
Agent 要做事,先要拿到合适的权限;做完以后,要留下能复查的结果;一旦涉及私有资料,还要知道哪些东西不能被带出门。
Cloudflare 解决的是“先跑起来”;GitHub Qubot 解决的是“问完能复查”;MosaicLeaks 提醒的是“查资料也可能泄密”。这比单纯讨论模型聪不聪明更接近真实工作。
我的判断
我会把今天的主线记成一句话:Agent 不是只缺能力,它还缺一套“临时通行证”。
人不可能把所有账号、密钥和内部资料都直接交给 AI。但如果什么都不给,Agent 又只能停在聊天窗口里。接下来真正有价值的产品,会在这两头之间做设计:给 AI 一个短时间、低权限、可撤回的通道,让它先把结果跑出来,再由人接管。
这也是今天还值得继续讲 Agent 的原因。昨天说的是生产链路,今天说的是链路里最容易被忽略的一环:权限怎么给,给多久,出了问题怎么收回来。
可以直接带走
今天可以做一个很小的动作:给你正在用的 AI 工具补一张“临时权限卡”。
不用复杂,就写四行:
- 这次 AI 最多能访问什么?
- 这个权限多久过期?
- 它交付什么结果才算完成?
- 如果结果不对,怎么撤回权限和产物?
如果这四行写不出来,就别急着把真实账号、私有数据和正式环境交给它。让 Agent 能干活是一回事,让它只在该干的范围里干活,是另一回事。
其他信号
- AlphaFold 负责人 John Jumper 将离开 Google DeepMind 加入 Anthropic:实用价值在人才流向:前沿 AI 公司争的不是单个简历,而是 AI 科学、模型安全和产品化研究能力。